Hoe het dd-commando te gebruiken in forensisch onderzoek

Wanneer u de opdrachtregel in Ubuntu gebruikt, moet u mogelijk een bestand van de ene plaats naar de andere kopiëren. Misschien wilt u er ook voor zorgen dat de gegevens correct worden gekopieerd. Stel bijvoorbeeld dat u een back-up van uw schijf wilt en er zeker van wilt zijn dat er een nauwkeurige back-up wordt gemaakt. Om deze actie uit te voeren, kunt u de dd (Gegevensdump) opdrachtregelhulpprogramma beschikbaar in veel Linux-distributies, zoals Ubuntu en Fedora. De dd tool is een ingebouwd opdrachtregelprogramma en u hoeft het niet te installeren voordat u dit hulpprogramma gebruikt. Het basisdoel van deze opdracht is om gegevens van de ene schijf naar de andere over te dragen en er tegelijkertijd voor te zorgen dat de gegevens zelf niet worden gewijzigd. Het vermogen van deze tool om gegevens nauwkeurig van het ene apparaat naar het andere te verplaatsen, maakt het een populair hulpmiddel voor het maken van back-ups van uw gegevens. Zonder md5sum, de dd tool brengt alleen gegevens over van schijf naar schijf, maar als u de dd tool met md5sum, dan kunt u ervoor zorgen dat de gegevensoverdracht niet wordt beschadigd. In deze zelfstudie worden enkele verschillende gebruiksscenario's van de dd commando, in het bijzonder in de context van forensisch onderzoek.

Aan de slag met het dd-commando

Om te beginnen met de dd commando, open eerst de terminal door op te drukken Ctrl+Alt+T. Voer vervolgens de volgende opdracht uit:

[e-mail beveiligd]:~$ man dd

Als u de bovenstaande opdracht uitvoert, wordt de gebruikershandleiding van de dd opdracht. De dd opdracht wordt gebruikt met sommige parameters. Voer de volgende opdracht in de terminal uit om alle beschikbare parameters weer te geven:

[e-mail beveiligd]:~$ dd --help

De bovenstaande opdracht geeft u alle beschikbare opties die kunnen worden gebruikt met de dd opdracht. In dit artikel worden niet alle beschikbare opties besproken, maar alleen die met betrekking tot het gegeven onderwerp. Hieronder staan ​​enkele van de belangrijkste parameters van de: dd opdracht:

• bs=B: Deze parameter stelt het aantal bytes B in dat op elk moment kan worden gelezen of geschreven bij het maken van een schijfkopiebestand. De standaardwaarde van bs is 512 bytes.
• cbs=B: Deze parameter stelt het aantal bytes B in dat tijdens elk proces tegelijk kan worden geconverteerd.
• aantal=N: Deze parameter stelt het aantal N invoerblokken in dat gekopieerd moet worden.
• if=DEST: Deze parameter haalt het bestand van de bestemming DEST.
• van=DEST: Deze parameter slaat het bestand op naar de bestemming DEST.

Belangrijke voorwaarden om te herzien

In deze tutorial, tijdens het bespreken van de dd commando in de forensische context, zullen we enkele technische termen gebruiken waarmee u bekend moet zijn voordat u de tutorial doorloopt. Dit zijn de termen die tijdens de zelfstudie herhaaldelijk zullen worden gebruikt:

• MD5-controlesom: De MD5-controlesom is de tekenreeks van 32 tekens die wordt gegenereerd door een hash-algoritme dat uniek is voor verschillende gegevens. Geen twee verschillende bestanden kunnen dezelfde MD5-controlesom hebben.
• md5sum: De md5sum is een opdrachtregelprogramma dat wordt gebruikt om een ​​128-bits hash-algoritme te implementeren en dat ook wordt gebruikt om een ​​MD5-controlesom van unieke gegevens te genereren. We zullen md5sum gebruiken in de tutorial in dit artikel om MD5-controlesommen van gegevens te genereren generate.
• Schijfkopiebestand: Het schijfkopiebestand is de exacte kopie van de schijf waarvan het is gemaakt. We kunnen zeggen dat het een momentopname van de schijf is. We kunnen onze schijfgegevens herstellen vanuit dit schijfkopiebestand wanneer dat nodig is. Dit bestand is precies even groot als de schijf zelf. We zullen de gebruiken dd opdracht om een ​​schijfkopiebestand van de schijf te maken.

Tutorial overzicht

In deze tutorial zullen we een back-upsysteem maken en controleren of de gegevens correct worden geback-upt met de dd en md5sum commando's. Eerst zullen we de schijf specificeren waarvan we een back-up willen maken. Vervolgens gebruiken we de dd opdrachtregelprogramma om een ​​schijfkopiebestand van de schijf te maken. Vervolgens zullen we MD5-controlesommen maken van zowel de schijf als het schijfkopiebestand om te controleren of het schijfkopiebestand juist is. Hierna zullen we de schijf herstellen vanuit het schijfkopiebestand. We zullen dan een MD5-controlesom van de herstelde schijf genereren en deze verifiëren door deze te vergelijken met de MD5-controlesom van de originele schijf. Ten slotte zullen we het schijfkopiebestand wijzigen en de MD5-controlesom maken van dit gewijzigde schijfkopiebestand om de nauwkeurigheid te testen. De MD5-controlesom van het gewijzigde schijfkopiebestand mag niet hetzelfde zijn als die van het originele bestand.

Het dd-commando in een forensische context

De dd commando wordt standaard geleverd met veel Linux-distributies (Fedora, Ubuntu, enz.).). Naast het uitvoeren van eenvoudige handelingen op gegevens, dd commando kan ook worden gebruikt om enkele basis forensische taken uit te voeren. In deze tutorial gebruiken we de dd commando, samen met md5sum, om de nauwkeurige aanmaak van schijfkopieën vanaf de originele schijf te verifiëren.

Te volgen stappen

Hieronder staan ​​de stappen die nodig zijn om een ​​geluidsschijfkopie te verifiëren met behulp van de md5sum en dd commando's.

• Maak een MD5-controlesom van de schijf met behulp van de md5sum opdracht
• Maak een afbeeldingsbestand van de schijf met behulp van de dd opdracht
• Maak een MD5-controlesom van het afbeeldingsbestand met behulp van de md5sum opdracht
• Vergelijk de MD5-controlesom van het schijfkopiebestand met de MD5-controlesom van de schijf
• Herstel de schijf vanuit het schijfkopiebestand
• Maak een MD5-controlesom van de herstelde schijf
• Test MD5-controlesom tegen het gewijzigde afbeeldingsbestand
• Vergelijk alle MD5-controlesommen

Nu zullen we alle stappen in detail bespreken, om beter te laten zien hoe dingen werken met deze commando's.

Een MD5-controlesom van de schijf maken

Log om te beginnen eerst in als rootgebruiker. Om in te loggen als rootgebruiker, voer je de volgende opdracht uit in de terminal:. U wordt dan om het wachtwoord gevraagd. Voer je root-wachtwoord in en ga aan de slag als root-gebruiker.

[e-mail beveiligd]:~$ sudo su

Voordat u de MD5-controlesom maakt, selecteert u eerst de schijf die u wilt gebruiken. Voer de volgende opdracht in de terminal uit om alle beschikbare schijven op uw apparaat weer te geven:

[e-mail beveiligd]:~$ df -h

Voor deze tutorial gebruik ik de /dev/sdb1 schijf beschikbaar op mijn apparaat. U kunt een geschikte schijf van uw apparaat kiezen om te gebruiken.

OPMERKING: Kies deze schijf verstandig en gebruik de dd opdrachtregelhulpprogramma in een veilige omgeving, omdat het verwoestende gevolgen kan hebben voor uw schijf als het niet correct wordt gebruikt.

Maak een origineel MD5-bestand in de /media bestand en voer de opdracht md5sum uit in de terminal om een ​​MD5-controlesom van de schijf te maken.

[e-mail beveiligd]:~$ touch  /media/originalMD5
[email protected]:~$ md5sum /dev/sdb1 > /media/originalMD5

Wanneer u de bovenstaande opdrachten uitvoert, wordt een bestand gemaakt op de bestemming die is opgegeven door de parameter en wordt de MD5-controlesom van de schijf (/dev/sdb1, in dit geval) in het bestand opgeslagen.

OPMERKING: Het uitvoeren van de opdracht md5sum kan enige tijd duren, afhankelijk van de grootte van de schijf en de snelheid van de processor van uw systeem.

U kunt de MD5-controlesom van de schijf lezen door de volgende opdracht in de terminal uit te voeren, die de controlesom zal geven, evenals de schijfnaam:

[e-mail beveiligd]:~$ cat /media/originalMD5

Een imagebestand van de schijf maken

Nu gebruiken we de dd opdracht om een ​​afbeeldingsbestand van de schijf te maken. Voer de volgende opdracht uit in de terminal om een ​​afbeeldingsbestand te maken:.

[email protected]:~$ dd if=/dev/sdb1 of=/media/diskImage.img bs=1k

Dit zal een bestand maken op de opgegeven locatie. De dd commando werkt niet alleen. Je moet ook enkele opties specificeren binnen deze opdracht. De opties bij de dd commando hebben de volgende betekenis:

• Als: Het pad om de afbeelding van het te kopiëren bestand of station in te voeren.
• van: Het pad om het afbeeldingsbestand uit te voeren dat is verkregen uit de als
• bs: De blokgrootte; in dit voorbeeld gebruiken we een blokgrootte van 1k of 1024B.

OPMERKING: Probeer niet om het schijfkopiebestand te lezen of te openen, aangezien het dezelfde grootte heeft als die van uw schijf, en u zou kunnen eindigen met een overhandigd systeem. Zorg er ook voor dat u de locatie van dit bestand verstandig opgeeft vanwege de grotere omvang.

Een MD5-controlesom van het afbeeldingsbestand maken

We zullen een MD5-controlesom maken van het schijfkopiebestand dat in de vorige stap is gemaakt met dezelfde procedure als in de eerste stap. Voer de volgende opdracht uit in de terminal om een ​​MD5-controlesom van het schijfkopiebestand te maken:

[e-mail beveiligd]:~$ md5sum /media/diskImage.img > /media/imageMD5

Dit maakt een MD5-controlesom van het schijfkopiebestand. Nu hebben we de volgende bestanden beschikbaar:

• MD5-controlesom van de schijf
• Schijfkopiebestand van de schijf
• MD5-controlesom van het afbeeldingsbestand

MD5-controlesommen vergelijken

Tot nu toe hebben we een MD5-controlesom gemaakt van de schijf en van het schijfkopiebestand. Om vervolgens te controleren of een nauwkeurige schijfkopie is gemaakt, vergelijken we de controlesommen van zowel de schijf zelf als het schijfkopiebestand. Voer de volgende opdrachten in uw terminal in om de tekst van beide bestanden af ​​te drukken om de twee bestanden te vergelijken:

[e-mail beveiligd]:~$ cat /media/originalMD5
[e-mail beveiligd]:~$ cat /media/imageMD5

Deze commando's tonen de inhoud van beide bestanden. De MD5-controlesom van beide bestanden moet hetzelfde zijn. Als de MD5-controlesommen van de bestanden niet hetzelfde zijn, moet er een probleem zijn opgetreden tijdens het maken van het schijfkopiebestand.

De schijf herstellen vanuit het afbeeldingsbestand

Vervolgens zullen we de originele schijf herstellen vanaf het schijfkopiebestand met behulp van de dd opdracht. Typ de volgende opdracht in de terminal om de originele schijf te herstellen vanuit het schijfkopiebestand:

[e-mail beveiligd]:~$ dd if=/media/diskImage.img of=/dev/sdb1 bs=1k

De bovenstaande opdracht is vergelijkbaar met de opdracht die wordt gebruikt om een ​​schijfkopiebestand van de schijf te maken. In dit geval worden de invoer en uitvoer echter omgewisseld, waardoor de gegevensstroom wordt omgekeerd om de schijf te herstellen vanaf het schijfkopiebestand. Nadat we de bovenstaande opdracht hebben ingevoerd, hebben we onze schijf nu hersteld vanuit het schijfkopiebestand.

Een MD5-controlesom van de herstelde schijf maken

Vervolgens zullen we een MD5-controlesom maken van de schijf die is hersteld vanuit het schijfkopiebestand. Typ de volgende opdracht om een ​​MD5-controlesom van de herstelde schijf te maken:

[e-mail beveiligd]:~$ md5sum /dev/sdb1 > /media/RestoredMD5

Met behulp van de bovenstaande opdracht een MD5-controlesom gemaakt van de herstelde schijf en deze weergegeven in de terminal. We kunnen de MD5-controlesom van de herstelde schijf vergelijken met de MD5-controlesom van de originele schijf. Als beide hetzelfde zijn, betekent dit dat we onze schijf nauwkeurig hebben hersteld vanaf de schijfkopie.

De MD5-controlesom testen tegen het gewijzigde afbeeldingsbestand

Tot nu toe hebben we de MD5-controlesommen van nauwkeurig gemaakte schijven en schijfkopiebestanden vergeleken. Vervolgens zullen we deze forensische analyse gebruiken om de nauwkeurigheid van een gewijzigd schijfkopiebestand te controleren. Wijzig het schijfkopiebestand door de volgende opdracht in de terminal uit te voeren:.

[email protected]:~$ echo “abcdef” >> /media/diskImage.img

Nu hebben we ons schijfkopiebestand gewijzigd en het is niet meer hetzelfde als voorheen. Merk op dat ik het teken ">>" heb gebruikt in plaats van ">.Dit betekent dat ik het schijfkopiebestand heb toegevoegd in plaats van het te herschrijven. Vervolgens maken we nog een MD5-controlesom van het gewijzigde schijfkopiebestand met behulp van de opdracht md5sum in de terminal.

[e-mail beveiligd]:~$ md5sum /media/diskImage.img > /media/changedMD5

Als u deze opdracht invoert, wordt een MD5-controlesom gemaakt van het gewijzigde schijfkopiebestand. Nu hebben we de volgende bestanden:

• Originele MD5-controlesom
• Disk Image MD5 controlesom
• Herstelde schijf MD5 checksum
• Gewijzigde schijfkopie MD5 checksum

Alle MD5-controlesommen vergelijken

We sluiten onze discussie af door alle MD5-controlesommen te vergelijken die tijdens deze tutorial zijn gemaakt. Gebruik de kat commando om alle MD5 checksum-bestanden te lezen om ze met elkaar te vergelijken:

[e-mail beveiligd]:~$ cat /media/*MD5

De bovenstaande opdracht toont de inhoud van alle MD5 checksum-bestanden. We kunnen aan de bovenstaande afbeelding zien dat alle MD5-controlesommen gelijk zijn, behalve de bovenste, die is gemaakt met het gewijzigde schijfkopiebestand. Op deze manier kunnen we dus de juistheid van de bestanden verifiëren met behulp van de dd en md5sum commando's.

Conclusie

Het maken van een back-up van uw gegevens is een belangrijke strategie om deze te herstellen in geval van een ramp, maar de back-up is nutteloos als uw gegevens tijdens de overdracht beschadigd raken. Om ervoor te zorgen dat de gegevensoverdracht correct is, kunt u enkele hulpmiddelen gebruiken om acties op de gegevens uit te voeren om te verifiëren of de gegevens zijn beschadigd door het kopieerproces.

De dd command is een ingebouwd opdrachtregelprogramma dat wordt gebruikt voor het maken van afbeeldingsbestanden van de gegevens die op schijven zijn opgeslagen. U kunt ook de md5sum opdracht om een ​​MD5-controlesom van de nieuw gemaakte afbeelding te maken, die de nauwkeurigheid van de gekopieerde gegevens verifieert, om forensisch onderzoek uit te voeren op de overgedragen gegevens samen met de dd opdracht. In deze zelfstudie werd besproken hoe u de dd en md5sum tools in een forensische context om de nauwkeurigheid van gekopieerde schijfgegevens te waarborgen.